午前問78
情報セキュリティ対策において、情報を保護レベルによって分類して管理するとき、管理方法として、適切なものだけを全て挙げたものはどれか。
a. 情報に付与した保護レベルは、廃棄するまで変更しない。
b. 情報の取扱い手順は、保護レベルごとに定める。
c. 情報の保護レベルは、組織が作成した基準によって決める。
d. 保護レベルで管理する対象は、電子データとそれを保存した保存媒体に限定する。
a. 情報に付与した保護レベルは、廃棄するまで変更しない。
b. 情報の取扱い手順は、保護レベルごとに定める。
c. 情報の保護レベルは、組織が作成した基準によって決める。
d. 保護レベルで管理する対象は、電子データとそれを保存した保存媒体に限定する。
| a、c | |
| a、d | |
| b、c | |
| b、d |
『情報処理過去問.com』からiPhoneアプリがリリースされました!!
正解
- ウ
解説
保護レベルは、情報の価値や脅威の状況が変われば見直す必要があるため、廃棄まで固定するのは不適切です。取扱い手順は保護レベルごとに定め、アクセス権限・保存方法・持出し制限などを段階的に設けます。どの保護レベルにするかは、外部の一般基準ではなく、各組織の基準(業務・リスクに即した基準)で決めます。管理対象は電子データや保存媒体に限らず、紙文書・口頭情報・画面表示など、形態を問わず情報全般が含まれます。したがって、適切なのは b と c の組合せで、正解は「ウ」です。
| ア. | a、c |
| a は、保護レベルを固定してしまう点が不適切、c は組織の基準で決める点が適切です。よって不正解です。 | |
| イ. | a、d |
| a は不適切、d も管理対象を電子データ等に限定しており不適切です。よって不正解です。 | |
| ウ. | b、c |
| b は保護レベルごとの取扱い手順を定める点が適切、c は組織の基準で決める点が適切です。よって正解です。 | |
| エ. | b、d |
| b は適切ですが、d が不適切(対象を電子データ等に限定)です。よって不正解です。 |